Seite 1 von 32 12311 ... LetzteLetzte
Ergebnis 1 bis 10 von 312

Thema: Sparkasse (schon wieder)

  1. #1
    Neues Mitglied
    Registriert seit
    19.04.2006
    Beiträge
    7

    Standard Sparkasse (schon wieder)

    Da hat sich aber einer nicht viel Mühe gemacht:


    Die Adresse, die verlinkt ist:
    whois:http://bankingportal.sparkasse.de.web5203700.ykhosez.info/confirm/banking/index.html?link=Bestatigung&ref=24113

    Folgender freundlicher Herr betreibt die Site:
    Stanitskiy Oleg
    Melovaya street, 16-28
    Belgorod
    Belgorodskaya oblast
    308001
    RU

    Natürlich konnte ich nicht widerstehen, meine unverbrauchten TANs und andere Zugangsdaten in die Datenbank zu füttern.

  2. #2

  3. #3
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.139

    Standard


    header:
    01: Return-Path: <refnummer-15936sp [at] sparkasse.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: (qmail invoked by alias); 27 Dec 2006 xx:xx:xx -0000
    05: Received: from 20119131198.user.veloxzone.com.br (HELO
    06: 20119131198.user.veloxzone.com.br) [201.19.131.198]
    07: by mx0.gmx.net (mx060) with SMTP; 27 Dec 2006 xx:xx:xx +0100
    08: Received: from hotbox.com (unknown [12.54.58.127])
    09: by absolutist.com with SMTP ID: [ID filtered]
    10: for <x>; Wed, 27 Dec 2006 xx:xx:xx -0000
    11: From: "Sparkasse" <refnummer-15936sp [at] sparkasse.de>
    12: To: <x>
    13: Subject: Achtung -Tue, 26 Dec 2006 xx:xx:xx -0600
    14: Sender: "Sparkasse" <rechnungen-52516553sp [at] sparkasse.de>
    15: User-Agent: SmartMailer Version 1.56 -German Privat License-
    16: X-Mailer: SmartMailer Version 1.56 -German Privat License-
    17: X-Priority: 3 (Normal)
    18: MIME-Version: 1.0
    19: Content-Type: multipart/related;
    20: boundary="SJ71DGMH3CHJ8D9M9X7"
    21: Date: Wed, 27 Dec 2006 xx:xx:xx +0100
    22: Message-ID: [ID filtered]
    23: X-GMX-Antivirus: 0 (no virus found)
    24: X-GMX-Antispam: 4 (From mass domain over foreign mail server)
    25: X-GMX-UID: [UID filtered]

    whois:http://sparkasse.de.finanzen_kunden_374417811028.fueresd.ws/index.htm

    Gespamt über Brasilien und gehostet in Korea
    Der Microsoft Phishing-Filter vom IE7 schlägt auch nicht an

  4. #4

  5. #5
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.139

    Standard


    header:
    01: Return-Path: <operator-num411656066943597sp [at] sparkasse.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: (qmail invoked by alias); 31 Dec 2006 xx:xx:xx -0000
    05: Received: from AMontpellier-157-1-183-118.w90-27.abo.wanadoo.fr (HELO
    06: amontpellier-157-1-183-118.w90-27.abo.wanadoo.fr) [90.27.38.118]
    07: by mx0.gmx.net (mx042) with SMTP; 31 Dec 2006 xx:xx:xx +0100
    08: Received: from google.com [30.6.32.196]
    09: by tgpservers.com with SMTP ID: [ID filtered]
    10: for <x>; Sun, 31 Dec 2006 xx:xx:xx -0000
    11: Received: from smapxsmap.net [108.162.14.176]
    12: by ukrsat.com with SMTP ID: [ID filtered]
    13: for <x>; Sat, 30 Dec 2006 xx:xx:xx -0500
    14: From: "Sparkasse" <operator-num411656066943597sp [at] sparkasse.de>
    15: To: <x>
    16: Subject: eilige Information
    17: X-Originating-Server: riscom.com (berth.poetic.com [131.176.146.232])
    18: User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
    19: X-Priority: 3 (Normal)
    20: MIME-Version: 1.0
    21: Content-Type: multipart/related;
    22: boundary="C6ZGETW1C3UBAWQ"
    23: Date: Sun, 31 Dec 2006 xx:xx:xx +0100
    24: Message-ID: [ID filtered]
    25: X-GMX-Antivirus: 0 (no virus found)
    26: X-GMX-Antispam: 4 (From mass domain over foreign mail server)
    27: X-GMX-UID: [UID filtered]

    whois:http://sparkasse.de.finanzen_kunden_48756365363944.kilopo.ws/index.htm

    Gespamt über Frankreich und gehostet in Korea/Lettland.
    Das DNS ist mal wieder von Interesse:

    > set q=soa
    > kilopo.ws

    Nicht autorisierte Antwort:
    kilopo.ws
    primary name server = kilopo.ws
    responsible mail addr = support@kilopo.ws
    serial = 2002120602
    refresh = 36000 (10 hours)
    retry = 3000 (50 mins)
    expire = 36000000 (416 days 16 hours)
    default TTL = 36000 (10 hours)


    Die TTL ist mit 10 Stunden ordentlich hoch; entweder haben die Phisher ein hohes Vertrauen in die Verfügbarkeit von A-Einträgen und der DNS-Zone (man beachte die FQDNs der Nameserver: 'new-god-ns.net') oder aufgrund des weihnachtlichen Bot-Schwundes keine andere Wahl.

    kilopo.ws nameserver = ns1.new-god-ns.net
    kilopo.ws nameserver = ns2.new-god-ns.net
    kilopo.ws nameserver = ns3.new-god-ns.net
    ns1.new-god-ns.net internet address = 200.50.118.193
    ns2.new-god-ns.net internet address = 218.49.150.100
    ns3.new-god-ns.net internet address = 200.207.127.103


    Die ersten beiden DNS-Server sind dynamisch - nur die 200.207.127.103 ist statisch; dort läuft neben einem DNS- auch ein SMTP-, ein http- und ein POP3-Server

    Die A-Einträge zeigen derzeit in zwei Richtungen:
    - whois:220.149.207.121 - Korea und
    - whois:80.81.48.238 - Lettland
    Geändert von skater (26.01.2008 um 14:11 Uhr)

  6. #6

  7. #7
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.139

  8. #8
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.139

  9. #9
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.139

    Standard

    whois:http://sparkasse.de.finanzen_kunden_863478056914.ahsedfk.org/index.htm
    ...ich nehme an Mr. Phish hofft, dass zwischen den Feiertagen (und etwas danach) die Kunden leichter geschröpft werden können.

    Oh, ich sehe gerade die identische IP: der koreanische Server ist wohl recht stabil (http://www.antispam-ev.de/forum/show...59&postcount=5)
    Geändert von schara56 (03.01.2007 um 05:39 Uhr) Grund: Update

  10. #10

Seite 1 von 32 12311 ... LetzteLetzte

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen